Sök

Nyhetsbrev OT-Säkerhet #30 - Måltavlor, Industri 4.0 och Jubileum

Jag firar att det trettionde nyhetsbrevet är utgivet med en snabb kopp kaffe innan det är dags att fortsätta skriva på nummer 31 och 32. Nej, allvarligt talat så känns det riktigt stort att "ha fyllt 30"! Jag hade aldrig trott att gensvaret skulle bli så här stort när jag drog igång nyhetsbrevet för snart två år sedan och skickade det första utskicket till mina dåvarande fyra (!) läsare... Nyhetsbrevet kommer förstås alltid att vara extremt nischat, men med tanke på just detta så är de 500-700 läsare ett inlägg har idag helt fantastiskt! Det har börjat dyka upp läsare utanför Sverige med önskemål om engelska men jag kommer hålla kvar i att skriva på svenska som förstaspråk.

Den här gången känner vi måltavlan på våra ryggar, funderar vilket sätt vi ska stava till "Industrie 4.0", läser en ny del i NAMURS NOA-serie och hittar nya sätt att mäta risker. Du får också mina bästa pod-tips och en massa annat.


Ett riktigt varmt tack till er alla som läser mina spretiga tankar om detta udda, men ack så viktiga, ämne. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det i allra högsta grad är ett hobby-projekt, då det till största delen skrivs hemma i TV-soffan.


Framöver kommer jag försöka öka tempot lite i utgivningarna men istället låta innehållet bli motsvarande kortare. Jag siktar på att ge er nyhetsbrev ungefär var 14:e dag framöver även om det kan variera lite, inte minst över sommaren.


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag skrev nyligen ett inlägg på Atea-bloggen som förklarar mer.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Framöver kommer också vissa artiklar från nyhetsbreven publiceras på Ateas officiella blogg tillsammans med en del annat som jag skriver där.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Känner du måltavlan på ryggen?

Häromdagen läste jag en artikel av Vytautas Butrimas som, precis som vanligt, gör en radda kloka observationer. Huvudpoängen är att organisationer som sysslar med kritisk infrastruktur aldrig får glömma att de är väldigt utsatta. Att allting som de gör (eller låter bli att göra) kommer aktörer i omvärlden att försöka utnyttja.


Det här är förstås egentligen inga nyheter för någon. Samtidigt tycks det vara lätt att glömma att slutmålet för angriparna inte är att slå mot den kritiska infrastrukturen i sig utan att använda den som ett slagträ mot samhället i stort. Dels som en störning och dels som en kraftfull psykologisk effekt. Det här är viktigt att komma ihåg när man sitter där i sin risk-workshop och undrar "varför skulle någon vilja angripa oss?". Att alltid känna måltavlan på ryggen och att alltid peka på jobbiga begränsningar är tufft. Här är det viktigt att man har vettiga rutiner för belysa risker i alla typer av ändringar som kan påverka säkerheten.

Något som jag personligen tycker är en underskattad komponent i det sammanhanget är att ge organisationen en gemensam syn på de hot som man står inför. Om alla i organisationen har samma bild av vad man behöver skydda sig mot blir säkerhetsarbetet oerhört mycket enklare. Organisationer som har verksamheter som faller under säkerhetsskyddslagen och som tillhör någon av de två högsta konsekvensnivåerna (och därför kallas "Särskilt säkerhetskänslig verksamhet"), får ju en så kallad DHB, "Dimensionerande Hotbeskrivning", av SÄPO och tillsynsmyndigheterna. Även om man inte bedriver säkerhetskänslig verksamhet, eller inte ens kritisk infrastruktur, tycker jag något i stil med en DHB är ett fantastiskt kraftfullt sätt att definiera sin egen kravnivå. Det är något som passar alla typer av organisationer! Men se samtidigt upp så att ni inte stoppar in en massa onödigt känslig information i i beskrivningen, den får inte bli "hemligstämplad" - innehållet behöver ju vara känt inom den egna organisationen för att kunna göra någon nytta!

(Image credit: www.mddionline.com)

Om man sedan lyckas kombinera känslan av en ständig måltavla på ryggen med tänket "assume breach", dvs att man antar att angreppen redan lyckats och därför behöver kunna upptäckas och hanteras så har man sannolikt den perfekta inställningen till sitt säkerhetsarbete!


Inget av det här är specifikt för OT-säkerhet men jag tror att det är extra viktigt för oss. Eftersom vi ofta har lite mer extrema konsekvenser med i vår riskekvation och eftersom vi gärna blir lite begränsade i vilka säkerhetsåtgärder som är möjliga att använda blir det helt avgörande att klyschan "Säkerhet är en del i allt vi gör" faktiskt inte är en klyscha. Jag skulle vilja utöka den till att "Säkerhet är en del i allt som ALLA gör" så att vi får med alla på tåget.

Lite på samma tema har det börjat gå upp för allt fler att IT och OT inte bara är ett hot mot varandra utan att de båda två tillsammans ofta är helt avgörande för att kunna bedriva en verksamhet. Tiden när vi kunde "köra vidare utan IT" är förbi för de flesta verksamheter. Det är lite märkligt att så många blev förvånade över att man "stoppade driften" av pipelinen i östra USA nyligen på grund av ett IT-angrepp. Det beror kanske delvis på att man inte förstår hur den typen av verksamhet funkar och delvis på att händelsen fördummats i diverse media som att "de inte ville köra produktionen om de inte kunde fakturera". Det talas om "konvergensen mellan IT och OT", vilket många väljer att tolka som att systemen växer ihop. Jag ser det inte på det sättet, även om förstås integrationen mellan de två världarna ökar. Istället är det viktiga att verksamhetens risker blir allt mer gemensamma mellan IT och OT. Stannar produktionen så har den stannat, om det var IT eller OT som "ställde till" det spelar mindre roll.


Vi har i alla fall passerat punkten där man inte längre kan skylla bristande säkerhetsarbete på "att man inte visste". Om verksamhetens ledning inte arbetar aktivt med risker och säkerhet idag så är man antingen inkompetent eller förd bakom ljuset. Att medvetet välja att göra ingenting är självklart fortfarande möjligt men det är inte längre ett automatiskt utgångsläge. Vi som arbetar med säkerhet har ett stort ansvar att förmedla en korrekt bild till vår ledning och våra medarbetare!

Mer NOA från NAMUR!

Det duggar tätt mellan storstilade leveranser. Bara dagen efter att "Top 20 Secure PLC Coding Practices" lanserades (som du såg i förra nyhetsbrevet) dök nästa del av NAMUR Open Architecture (NOA) upp. Nu är det dokumentet NE 176 “NAMUR Open Architecture – NOA Information Model“ som är tillgängligt, den tredje delen av totalt fem planerade.


Det här är femte delen i min serie om standarder och ramverk. Första avsnittet handlade om ISA/IEC 62443 och finns i nyhetsbrev #26. I nyhetsbrev #27 tittar jag på NAMUR NOA. I nyhetsbrev #28 tittade jag på NIST CSF, NIST 800-53 och NIST 800-82 men du fick också lite mer om NOA som en bonus. I förra nyhetsbrevet tittade jag på den nya versionen av CIS Controls och funderade på hur den passar för OT. Har du önskemål om vad jag ska ta upp framöver så får du väldigt gärna höra av dig!

Jaha? Kanske du undrar... "Informationsmodeller! Vad har det med OT-säkerhet att göra?" Inte så mycket på ytan kanske men i praktiken tycker jag att det är helt avgörande för säkerheten i en OT-verksamhet som börjat ta sig mot "Industri 4.0". Om det är någonting som förstör de bästa säkerhetsmässiga intentioner så är det integrationer mellan system där man tagit genvägar. Usla API:er, dåliga nätverksprotokoll och allmänt kass koll på vad som kommunicerar med vad, leder ofelbart till att den där fina segmenteringen förstörs och din dyra brandvägg blir bara en schweizer-ost med blinkande lampor...

Det som är kul med att just den här delen blev tillgänglig är att vi nu har tillgång till de tre viktigaste delarna. Det som vi inte fått ännu är "NE 178 – NOA Verification of Request" och "NE 179 – NOA Aggregating Server" som förvisso är viktiga och intressanta men inte helt nödvändiga för att börja använda det här smarta tänket. Och precis det är ju viktigt att komma ihåg - man måste ju inte använda alla detaljer i NOA utan kan också nöja sig med att luta sig mot tänket. Det gör vi hos några av mina kunder just nu, där det viktiga är att se datainsamlingen som en separat funktionalitet värdig egna system och egna nätverk så att man inte påverkar befintliga produktionsutrustningar. Hur långt man vill gå med exempelvis diodbaserade envägslösningar kan man ju låta styras av sina riskanalyser.


I mitten av juni gick konferensen "Dialog Days - Edition Process Automation", anordnad av den spännande tillverkaren Phoenix Contact, av stapeln. En av diskussionspassen var just kring NAMUR NOA. Kan vara intressant om du vill förstå NOA bättre.


Hur passar då det här med NOA in i "Industri 4.0"? Varför ges NOA-dokumenten ut på engelska och tyska? ...och är det uppenbart vad vi egentligen menar med "Industri 4.0"? Ett ämne som jag tyckte var värd en egen liten text...

Industri 4.0? Industry 4.0? Industrie 4.0?


Är det bara olika stavningar av samma koncept eller finns det mer i den underliggande betydelsen? Jag har hittills inte sett någon officiellt uttalad skillnad men jag börjar personligen se viktiga skillnader som kommer kunna leda till riktigt dyra missförstånd som dessutom får säkerhetskonsekvenser!

När man kommer ner under ytan på begreppen "Industri 4.0", "Industry 4.0" eller "Industrie 4.0" märker man att det finns två ganska olika betydelser av dem. Orginalet är förstås det formella "Industrie 4.0" som definieras av "Plattform Industrie 4.0" som i sin tur drivs av tyska staten. Den andra är något slags luddigare och mer vardaglig betydelse i stil med att "stoppa in IoT-sensorer, dataflöden och analytics i industrin för att göra smarta saker!". Och det kanske är precis så att vi ska skilja på begreppen? Personligen kommer jag i fortsättningen försöka använda "Industrie 4.0" när jag tänker på den tyska formaliserade betydelsen och "Industry 4.0" för den enklare varianten. Apropå enklare så har "tyskarna" nu börjat förkorta "Industrie 4.0" till "I4.0", så nu har vi ett begrepp till!

För den som inte trängt in i det enorma arbetet som "Plattform Industrie 4.0" bedriver kan det vara svårt att inse omfattningen av resultatet och de löften som det ger. Det blir speciellt tydligt när man kommer in på det som kallas AAS eller "Asset Administration Shell". Extremt förenklat kan man säga att det är en datamodell för hur man beskriver vilket fysiskt objekt som helst i en industri, oavsett om det är en produkt, en maskin, ett dokument eller en motor. Datamodellen är standardiserad och finns beskriven ner på fältnivå för både kommunikation mellan organisationer och för dataflöden i en produktionsprocess. Det finns samarbeten som ska säkerställa att exempelvis ID-nummer för alla dessa typer av prylar blir standardiserade på ett sätt som fungerar både i de tekniska standarder som förordas (framför allt OPC UA) men också i en massa andra standarder för kommunikation och fältbussar. Men det är inte bara teknik utan även metoder för att köpa och sälja tjänster online som passar in direkt i organisationer som följer standarderna.


Det står naturligtvis var och en fritt att ta till sig alla dessa tankar och standarder i den omfattning man vill. Extremerna är väl att antingen gå all-in eller att sno själva tänket i exempelvis "NAMUR Open Architecture" men applicera det på ett eget sätt. Högst personligen är jag osäker på hur den extremt formaliserade "tyska modellen" kommer lyckas i framtiden. Min osäkerhet beror just på den enorma komplexiteten i helheten även om jag förstås tilltalas av den enorma elegans som genomsyrar mycket av tänket.

Att det till stor del drivs av tyska organisationer hindrar inte att vi andra använder resultatet eftersom allting dokumenteras på både tyska och engelska. Däremot sker en del spännande diskussioner på tyska och där blir i alla fall jag snabbt utelåst även om jag försöker putsa upp min skol-tyska.


Säkerhetsmässigt har det ju definitivt fördelar med hög standardisering men jag ser också risker om man tillämpar standarder och lösningar som man inte riktigt förstår själv och därmed inte kan hantera riskerna med. För risker finns det ju. I allting. Alltid... Däremot gillar jag personligen att plocka riktigt snygga koncept, som exempelvis NOA, för att applicera en arkitektur hos mina kunder som bygger på tänket även om vissa tekniska lösningar är annorlunda.


Är allt redan sagt om risker?

Om du har följt mitt nyhetsbrev ett tag så har du läst mina kritiska tankar kring riskanalys. (Exempelvis konsekvensdrivet riskarbete i Nyhetsbrev #25 och #26 eller kvantitativa metoder i Nyhetsbrev #16.) Då vet du att jag har lite svårt för de där klassiska workshoparna där man i grupp gissar sannolikhet och konsekvens för ett antal hopfantiserade risker. Fastän det är kvalitativa enheter man "mäter" med så försöker man sedan gärna sig på att multiplicera dessa "värden" på risk och konsekvens. Allt för att det ska kännas som man varit noggrann och matematiskt exakt.

Men... Det var faktiskt inte det jag tänkte gnälla om den här gången... Nej, jag snubblade nyligen över en 11 år gammal artikel på den medicinska sajten "Medical Device and Diagnostic Industry". Nog för att det finns en massa spännande OT-teknik inom sjukvården men den här gången var det riskanalys det handlade om med en lite ny vinkel som jag gillade. De lyfter fram ett antal andra dimensioner, utöver sannolikhet och konsekvens, som är värda att fundera över och använda för att gradera risker. Flera av resonemangen känner jag igen från min tid inom kärnkraftsbranschen.


Jag ska inte försöka återberätta hela artikeln utan rekommenderar att du läser den. De "nya" vinklarna som man föreslår att man utökar sin analys med är:

(Image credit: www.mddionline.com)